Dettaglio news
Il Garante sanziona un policlinico a Roma: accessibili i referti online di altri pazienti. Grazie a collaborazione e tempestività la sanzione è contenuta


mercoledì 28 ottobre 2020
di s-mart.biz



Col provvedimento del 1° Ottobre 2020, il Garante Privacy ha sanzionato un policlinico romano a seguito di data breach. In dettaglio la violazione ha riguardato dati estremamente sensibili, in dettaglio quelli contenuti nei referti online di alcuni pazienti. Infatti alcuni di essi, consultando i referti delle proprie diagnosi nella propria area privata (quindi accedendo con proprie credenziali) da smartphone, hanno avuto accesso all'elenco alfabetico di altri 74 pazienti della stessa struttura potendo visualizzare così la loro area privata e potendo accedere ai referti medici altrui.

Venuto a conoscenza del problema, il policlinico ha interrotto la consultazione dei referti online, corretto il problema per evitarne il protrarsi e ha quindi provveduto a segnalare l'incidente al provider del sistema archivistico online. Quindi, secondo le previsioni del GDPR, ha comunicato il data breach al Garante, indicando che il problema era dipeso da errore umano nell'integrazione di due sistemi informatici differenti.

I dati personali oggetto della violazione sono stati visualizzati da un numero limitato di soggetti determinati (allo stato, non più di 39 utenti), e che tali soggetti, in quanto pazienti/utenti alla stregua degli interessati, si trovano, presumibilmente, nella medesima condizione di quest’ultimi e perciò – verosimilmente - senza alcun interesse ad utilizzare/divulgare tali informazioni, specie per fini malevoli” si legge nella comunicazione al Garante. "In tutti i 74 casi riscontrati non risulta essere stato effettuato alcun download dei dati” e che “molti degli accessi illeciti sono avvenuti in un arco temporale che va dal 2016 al 2018” ha dichiarato la direzione della struttura, facendo inoltre sapere di non aver ricevuto reclami o lamentele a seguito dell'incidente.

Il Garante ha preso atto della violazione dei dati a causa dell'errore di configurazione del sistema di consultazione dati e ha optato per sanzionare la struttura ospedaliera ai sensi del GDPR, questo anche se tali accessi sono iniziati prima dell'entrata in vigore del Regolamento europeo: difatti tale gestione illecita di dati sanitari si è protratta almeno fino al 4 Agosto 2019, data in cui il Regolamento europer per la protezione dei dati era già pienamente in vigore.

Alla luce del GDPR quindi, il Garante ha provveduto ad applicare la sanzione tenendo però conto della gravità della violazione e degli sforzi mostrati per risolvere il problema: l'ammontare è stato determinato in 20.000 euro tenuti conto la tempestività di intervento una volta venuti a conoscenza del problema e l'alto livello di cooperazione dimostrato all'Authority nell'arco dell'intera fase di verifica.

 




CONDIVIDI QUESTA PAGINA!